Entrez vos identifiants

x
OU
Vous avez oublié votre mot de passe ?
Utilisateur wiki : vous n'aviez pas d'email ?

Korben - Site d'actualité geek et tech

Go Top

Des RATs qui camouflent leur trafic réseau

Des RATs qui camouflent leur trafic réseau

Dans le monde merveilleux des malwares et plus particulièrement des RATs (Remote Access Trojan), tels que Gh0st ou PoisonIvy, voici venue une nouvelle variété baptisée les FAKEM.

Jusqu'à présent, les RATs étaient facilement détectables grâce au trafic réseau qu'ils généraient. Ce trafic "type" faisait office de signature, rapidement repérable par les systèmes de protection anti-malware. Mais cette époque semble révolue puisque Trend Micro vient de publier un document de recherche dans lequel ils expliquent qu'ils ont découvert une nouvelle variante de ces RATs.

Ces derniers savent maintenant camoufler leur trafic réseau pour le faire ressembler à du trafic en provenance de MSN, Yahoo! Messenger ou tout simplement à des paquets HTML. Le déguisement est sommaire puisque seuls les entêtes des paquets sont semblables à du trafic "propre". Une analyse plus poussée suffit alors pour constater que le contenu du paquet est chiffré et ne correspond pas à un véritable paquet MSN ou HTML. Cependant, cela suffit à contourner une détection rapide.

Voici un paquet MSN normal...

vrai

Et voici un paquet RAT FAKEM imitant un paquet MSN...

faux

Pour cette étude, Trend Micro a mis en place un honeypot (pot de miel) afin de capturer ces FAKEM, déchiffrer le trafic envoyé vers ces derniers et ainsi analyser leur fonctionnement. Quoi qu’il en soit, les éditeurs d'antivirus et d'outils de détections qui ne le font pas encore devront probablement s'adapter afin d'analyser un peu plus finement la structure des paquets transitant sur le réseau (DPI ?).

Source et photo


Facebook Twitter Email Copier Url

8 Responses to “Des RATs qui camouflent leur trafic réseau”

  1. Mirhahil dit :

    En somme, avec les RATS c’est l’éternel jeu du chat – via MSN – et de la souris – avec ou sans fil ^^
    Pardon je manque de sommeil…

  2. FCB dit :

    En fait, à partir du moment où tu lis l’entête, c’est déjà du DPI…

  3. FCB dit :

    Autant pour moi, vérification faite, Wikipedia vient de me dire le contraire.

  4. Pourquoi la première capture est en RAW et la seconde en ASCII ?

  5. d0h dit :

    RAT = Remote Access Tool et non Remote Access Trojan.

    Et en effet, la deuxième capture d’écran étant en ASCII, dur de se faire une idée de la différence.

  6. FU dit :

    RAT = Remote Administration Tool ou Remote Access Tool ou Remote Access Trojan

  7. TZ dit :

    Encore une raison qui va pousser nos gouvernements à étendre le DPI… Merci qui ? http://reflets.info/reflets-orange-le-dpi-la-presse-et-notre-ego-surdimenssionne/

  8. Comment vis tu le fait d’être un huge faggot? Tu viens de découvrir les bots http ok c’est super mais là on parle pas de ça, on parle de bots imitant d’autre protocoles.

La menace des failles 0-Day

capture-vjhj

"En avril 2014, les chercheurs en sécurité de Google sont tombé sur une vulnérabilité présente à l’intérieur de la bibliothèque cryptographique OpenSSL. Petit problème, OpenSSL est utilisé sur les 2/3 des sites web qui utilisent HTTPS mais aussi par les téléphones Android. Heartbleed était né."

Si comme moi vous êtes un passionné de sécurité informatique et que vous vous demandez qu'est-ce qu'un truc comme Heartbleed peut causer comme dommages, la lecture de cet article sur les failles 0-Day est pour vous...et je vous rassure je ne parle pas du dernier film Blackhat récemment vu au ciné ;)

Lire la suite

Vous avez aimé cet article ? Alors partagez-le avec vos amis en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin email
Rejoignez les 55262 korbenautes
et réveillez le bidouilleur qui est en vous
abonnez-vous en savoir plus
"Vous aimez bidouiller ?" Oui j'adore l'informatique et la technologie
Suivez Korben Un jour ça vous sauvera la vie.. Ou celle d'un(e) ami(e)
  • Rejoignez les 55262 bidouilleurs de la grande famille des Korbenautes
    «Je considère que votre email est aussi important que le mien.»
    Korben
  • Univers Populaires

  • Site hébergé par
    Agarik Sponsor Korben
  • Vidéos

  • DANS TON CHAT (BASHFR)

    <@Mister_R_Ouf> Donc pour ou contre les slips boxers pour les curés :o ?
    <@Fye> contre
    <@Ichigo> pour
    <@Ichigo> au moins ils auront moins la bite qui ballade
    <@Mister_R_Ouf> XD

    -- http://danstonchat.com/727.html
  • Une astuce pour rendre

    Windows 10 plus rapide

    Si vous trouvez que Windows 10 est un peu lent, que vos applications ne se lancent pas très vite, que vos compilations prennent du temps, voici une petite astuce débusquée par Brominou pour accélérer le bouzin. Cliquez dans la zone de recherche de la barre Windows et tapez le mot clé...lire la suite

    Cryptool pour s'initier à la cryptographie

    Alors attention, ce n'est pas nouveau, mais je me suis dit que ce serait intéressant de vous en parler si vous ne connaissez pas encore. Cryptool est un logiciel open source éducatif qui va vous permettre de comprendre les principes de base de la cryptographie. Dans sa version 2, Cryptool intègre...lire la suite

    En ce moment dans l'univers "Windows"

    Voir tous les articles »